Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Cifrado de Amazon Bedrock Studio

RSS
Modo de enfoque
Cifrado de Amazon Bedrock Studio - Amazon Bedrock
Creación de una clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon Bedrock Studio está en versión preliminar para Amazon Bedrock y está sujeta a cambios.

El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad con el cifrado.

Amazon Bedrock Studio utiliza claves AWS propias de forma predeterminada para cifrar automáticamente los datos en reposo. No puede ver, administrar ni auditar el uso de AWS las claves propias. Para obtener más información, consulte claves propiedad de AWS.

Si bien no puede deshabilitar esta capa de cifrado ni seleccionar un tipo de cifrado alternativo, puede añadir una segunda capa de cifrado sobre las claves de cifrado existentes AWS si elige una clave administrada por el cliente al crear sus dominios de Amazon Bedrock Studio. Amazon Bedrock Studio admite el uso de claves simétricas administradas por el cliente que puede crear, poseer y administrar para añadir una segunda capa de cifrado sobre el cifrado propio existente AWS . Como usted tiene el control total de esta capa de cifrado, podrá realizar las siguientes tareas en ella:

  • Establecer y mantener políticas de claves.

  • Establecer y mantener políticas y concesiones de IAM.

  • Habilitar y deshabilitar políticas de claves.

  • Rotar el material criptográfico.

  • Agregar etiquetas.

  • Crear alias de claves.

  • Programar la eliminación de claves.

Para obtener más información, consulte Claves administradas por el cliente.

nota

Amazon Bedrock Studio habilita automáticamente el cifrado en reposo mediante claves AWS propias para proteger los datos de los clientes sin coste alguno.

AWS Se aplican cargos de KMS por el uso de claves administradas por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Creación de una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante la consola AWS de administración o el AWS KMS APIs.

Para crear una clave simétrica gestionada por el cliente, siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para desarrolladores del servicio de gestión de AWS claves.

Política de claves: las políticas de claves controlan el acceso a la clave administrada por el cliente. cliente o a su cuenta y región.Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administrar el acceso a las claves administradas por el cliente en la Guía para desarrolladores del Servicio de administración de AWS claves.

nota

Si utiliza una clave gestionada por el cliente, asegúrese de etiquetarla AWS KMS con la clave EnableBedrock y con un valor detrue. Para obtener más información, consulte Claves de etiquetado

Para utilizar su clave administrada por el cliente con sus recursos de Amazon Bedrock Studio, en la política de claves deben permitirse las siguientes operaciones de la API:

  • kms: CreateGrant — añade una concesión a una clave gestionada por el cliente. Otorga el acceso de control a una clave de KMS específica, que permite acceder a las operaciones de concesión que requiere Amazon Bedrock Studio. Para obtener más información sobre el uso de las subvenciones, consulte la Guía para desarrolladores del servicio de administración de AWS claves.

  • kms: DescribeKey — proporciona los detalles clave gestionados por el cliente para que Amazon Bedrock Studio pueda validar la clave.

  • kms: GenerateDataKey — devuelve una clave de datos simétrica única para usarla fuera de AWS KMS.

  • KMS:Decrypt: descifra texto cifrado con una clave de KMS.

El siguiente es un ejemplo de instrucciones de política que puede agregar para Amazon Bedrock Studio. Para utilizar la política, haga lo siguiente:

  • Sustituya \{FIXME:REGION\} las instancias de por la AWS región que está utilizando y \{FIXME:ACCOUNT_ID\} por su ID de AWS cuenta. Los caracteres \ no válidos del JSON indican dónde debe realizar las actualizaciones. Por ejemplo, "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" sería "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*".

  • Cambie \{provisioning role name\} por el nombre del rol de aprovisionamiento que usará para el espacio de trabajo que usa la clave.

  • Cambie \{Admin Role Name\} por el nombre del rol de IAM que tendrá privilegios de administración para la clave.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "Enable IAM User Permissions Based on Tags",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair",
      "kms:GenerateDataKeyPairWithoutPlaintext",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Encrypt"
    ],
    "Resource": "\{FIXME:KMS_ARN\}",
    "Condition": {
      "StringEquals": {
        "aws:PrincipalTag/AmazonBedrockManaged": "true",
        "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}"
      },
      "StringLike": {
        "aws:PrincipalTag/AmazonDataZoneEnvironment": "*"
      }
    }
  },
    {
      "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"
        }
      }
    },
    {
      "Sid": "Allows AOSS list keys",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": "kms:ListKeys",
      "Resource": "*"
    },
    {
      "Sid": "Allows AOSS to create grants",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:datazone:domainId": "*"
        }
      }
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RetireGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:Encrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow use of CMK to encrypt logs in their account",
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.\{FIXME:REGION\}.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair",
        "kms:GenerateDataKeyPairWithoutPlaintext",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*"
        }
      }
    },
    {
      "Sid": "Allow access for Key Administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}"
      },
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "*"
    }
  ]
}

Para obtener más información sobre cómo especificar los permisos en una política, consulta la Guía para desarrolladores de AWS Key Management Service.

Para obtener más información sobre la solución de problemas de acceso a las claves, consulte la Guía AWS para desarrolladores del Servicio de administración de claves.

En esta página

Related resources

Amazon Bedrock Referencia de API
AWS CLI comandos para Amazon Bedrock
SDKs y herramientas 

Related resources

Amazon Bedrock Referencia de API
AWS CLI comandos para Amazon Bedrock
SDKs y herramientas 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.